CN107770150A - 终端保护方法及装置 - Google Patents
终端保护方法及装置 Download PDFInfo
- Publication number
- CN107770150A CN107770150A CN201710744182.7A CN201710744182A CN107770150A CN 107770150 A CN107770150 A CN 107770150A CN 201710744182 A CN201710744182 A CN 201710744182A CN 107770150 A CN107770150 A CN 107770150A
- Authority
- CN
- China
- Prior art keywords
- authentication
- authentication information
- terminal
- response
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本申请公开了终端保护方法及装置,其中所述方法包括:响应于登录终端,监听远端管理服务发送的针对该终端的标准鉴权信息及远端管理服务对该终端的编号;使用与远端管理服务中对等的算法计算实时鉴权信息;将计算的实时鉴权信息与接收的标准鉴权信息进行比较;响应于所述实时鉴权信息与所述标准鉴权信息匹配,鉴权通过,启动ssh协议及密码认证服务;及响应于所述实时鉴权信息与所述标准鉴权信息不匹配,鉴权未通过,退出登录。本发明方法及装置可防护非法攻击及登录认证,大大提升了终端安全性。
Description
技术领域
本申请涉及安全防护领域,尤其涉及终端保护方法及装置。
背景技术
随着物联网技术的发展和成熟,为了给人们生活带来更加方便的体验及提供准确的信息,很多的联网终端被使用到具体的业务环境中。这些联网终端通常都是处于数据采集及预处理阶段,其与数据处理服务中心连接,传送数据并接收、执行服务中心下达的指令。
但是,这些终端往往成为被攻击的重灾区,因为这些终端本身的安全重视程度不够,在部署到实际环境中时,严重依赖厂商提供的安全解决方案,所以很多终端都使用一致的安全方案,比如预置密码等等,这导致终端安全受到严重的威胁。
现有技术中,保护终端的安全基本都是通过密码保护的方式对终端安全进行保护。而实际使用中,用户往往使用终端默认的密码体系,这造成了批量攻击的风险。同时,攻击者通常也可以通过ssh登录攻击或者暴力破解密码。终端安全防护较弱,尤其是执行边缘任务的终端,人工干预很少的情况下,此风险会更加高。
发明内容
为了克服现有技术中存在的不足,本发明要解决的技术问题是提供一种终端保护方法及装置,其能够有效地保护终端安全,防护非法攻击及登录认证。
为解决上述技术问题,本发明的终端保护方法,包括:
响应于登录终端,监听远端管理服务发送的针对该终端的标准鉴权信息及远端管理服务对该终端的编号;
使用与远端管理服务中对等的算法计算实时鉴权信息;
将计算的实时鉴权信息与接收的标准鉴权信息进行比较;
响应于所述实时鉴权信息与所述标准鉴权信息匹配,鉴权通过,启动ssh协议及密码认证服务;及
响应于所述实时鉴权信息与所述标准鉴权信息不匹配,鉴权未通过,退出登录。
作为本发明所述方法的改进,所述方法还包括:响应于在鉴权过程中取消鉴权,强制关闭ssh协议及登录密码认证服务,强制用户退出登录。
作为本发明所述方法的另一种改进,所述鉴权信息使用终端的特征值及远端管理服务对该终端的编号计算得到。
作为本发明所述方法的又一种改进,所述方法还包括:响应于密码认证的操作时间超过预定阈值,强制退出登录。
作为本发明所述方法的再一种改进,所述方法还包括:使得等待下次可密码认证的时间随密码认证失败次数的增加而增加。
作为本发明所述方法的另一种改进,所述方法还包括:响应于确定首次登录终端,重新设置密码。
为解决上述技术问题,本发明的终端保护装置,包括:
监听模块,用于响应于登录终端,监听远端管理服务发送的针对该终端的标准鉴权信息及远端管理服务对该终端的编号;
计算模块,用于使用与远端管理服务中对等的算法计算实时鉴权信息;
比较模块,用于将计算的实时鉴权信息与接收的标准鉴权信息进行比较;
启动模块,用于响应于所述实时鉴权信息与所述标准鉴权信息匹配,鉴权通过,启动ssh协议及密码认证服务;及
第一退出登录模块,用于响应于所述实时鉴权信息与所述标准鉴权信息不匹配,鉴权未通过,退出登录。
作为本发明所述装置的改进,所述装置还包括第二提出登录模块,用于响应于在鉴权过程中取消鉴权,强制关闭ssh协议及登录密码认证服务,强制用户退出登录。
作为本发明所述装置的另一种改进,所述装置还包括第三提出登录模块,用于响应于密码认证的操作时间超过预定阈值,强制退出登录。
作为本发明所述装置的又一种改进,所述装置还包括时间递增模块,用于使得等待下次可密码认证的时间随密码认证失败次数的增加而增加。
为解决上述技术问题,本发明的有形计算机可读介质,包括用于执行本发明的终端保护方法的计算机程序代码。
为解决上述技术问题,本发明提供一种装置,包括至少一个处理器;及至少一个存储器,含有计算机程序代码,所述至少一个存储器和所述计算机程序代码被配置为利用所述至少一个处理器使得所述装置执行本发明的终端保护方法的至少部分步骤。
按照本发明,鉴权信息不存储在终端本地,而是使用终端特征值动态计算生成,极大地提升了攻破终端鉴权的难度,其次终端必须由用户设置密码且密码存储在仅允许指定服务可访问的Trustzone可信区域中,密码和鉴权信息不存储在同一个地方将大大提升终端的安全性,同时没有鉴权通过,不启动ssh及密码认证服务入口,以及终端鉴权及终端密码二次认证两种递进防护方法大大提升了终端安全性。
结合附图阅读本发明实施方式的详细描述后,本发明的其它特点和优点将变得更加清楚。
附图说明
图1为根据本发明方法的一实施例的流程图。
图2为根据本发明装置的一实施例的结构示意图。
为清晰起见,这些附图均为示意性及简化的图,它们只给出了对于理解本发明所必要的细节,而省略其他细节。
具体实施方式
下面参照附图对本发明的实施方式和实施例进行详细说明。
通过下面给出的详细描述,本发明的适用范围将显而易见。然而,应当理解,在详细描述和具体例子表明本发明优选实施例的同时,它们仅为说明目的给出。
为了便于下文的描述,下面给出本说明书中使用的一些术语的含义。
术语终端安全是指终端不被恶意攻击获取控制终端的能力。
术语鉴权指终端认证是否启动密码认证及其他介入服务,如ssh。
术语终端认证指通过ssh或者其他密码服务对终端密码进行认证。
图1示出了根据本发明的终端保护方法的一实施例的流程图。
在步骤S102,在登录一终端时,确定是否为首次登录。如果是首次登录,则处理进行到步骤S132;否则,处理进行到步骤S104。
在步骤S132,通过提供新密码输入界面要求用户重新设置密码。在重置密码之后,处理进行到步骤S104。
在步骤S104,终端向远端管理服务提供特征值如序列号、处理器频率、核数、型号等,监听远端管理服务发送的针对该终端的标准鉴权信息及远端管理服务对该终端的编号。标准鉴权信息由远端管理服务根据终端的特征值及其对终端的编号进行计算如md5、sha1、哈希等而得到。在登录终端时,远端管理服务将标准鉴权信息及对终端的编号发送给终端。
在步骤S106,终端使用与远端管理服务中对等的算法如md5、sha1、哈希等基于终端的特征值及远端管理服务对其的编号计算实时鉴权信息。
在步骤S108,将计算的实时鉴权信息与接收的标准鉴权信息进行比较。如果实时鉴权信息与所述标准鉴权信息匹配,则鉴权通过,处理进行到步骤S110;否则,如果实时鉴权信息与所述标准鉴权信息不匹配,则鉴权未通过,处理进行到步骤S122。
在步骤S110,启动ssh协议及密码认证服务。
在步骤S112,进行密码认证。用于认证的密码加密存储在终端本地的安全位置如trustzone可信区域,且只有密码认证服务才可以访问。密码认证可根据需要,允许失败一定的次数。如果密码认证通过,则终端可继续进行后续处理;否则,如果密码认证最终未通过,则退出登录。
在步骤S122,退出登录。
在实施例中,如果用户在鉴权过程中取消鉴权,则强制关闭ssh协议及登录密码认证服务,强制用户退出登录。这意味着,鉴权是完成登录不可绕开的步骤。
在实施例中,可对密码认证设置有效时间范围,用户的密码认证操作在该时间范围内才有效,如果超过该设置的时间范围,强制退出登录。
在实施例中,可对密码认证设置时间间隔递增,使得等待下次可进行密码认证的时间随密码认证失败次数的增加而增加,即认证失败次数越多,等待下次可登陆的时间越长。在实施例中,也可设置密码认证失败次数限制,如果超过该限制,则强制退出登录。
图2示出了根据本发明的终端保护装置的一实施例的结构示意图。该实施例的装置包括:监听模块202,用于响应于登录终端,监听远端管理服务发送的针对该终端的标准鉴权信息及远端管理服务对该终端的编号;计算模块204,用于使用与远端管理服务中对等的算法计算实时鉴权信息;比较模块206,用于将计算的实时鉴权信息与接收的标准鉴权信息进行比较;启动模块208,用于响应于所述实时鉴权信息与所述标准鉴权信息匹配,鉴权通过,启动ssh协议及密码认证服务;及第一退出登录模块210,用于响应于所述实时鉴权信息与所述标准鉴权信息不匹配,鉴权未通过,退出登录;第三提出登录模块212,用于响应于密码认证的操作时间超过预定阈值,强制退出登录;时间递增模块214,用于使得等待下次可密码认证的时间随密码认证失败次数的增加而增加。
根据本发明装置的一种实施方式,所述装置还包括第二提出登录模块,用于响应于在鉴权过程中取消鉴权,强制关闭ssh协议及登录密码认证服务,强制用户退出登录。
在此所述的多个不同实施例或者其特定特征、结构或特性可在本发明的一个或多个实施方式中适当组合。另外,在某些情形下,只要适当,流程图中和/或流水处理描述的步骤顺序可修改,并不必须精确按照所描述的顺序执行。另外,本发明的多个不同方面可使用软件、硬件、固件或者其组合和/或执行所述功能的其它计算机实施的模块或装置进行实施。本发明的软件实施可包括保存在计算机可读介质中并由一个或多个处理器执行的可执行代码。计算机可读介质可包括计算机硬盘驱动器、ROM、RAM、闪存、便携计算机存储介质如CD-ROM、DVD-ROM、闪盘驱动器和/或例如具有通用串行总线(USB)接口的其它装置,和/或任何其它适当的有形或非短暂计算机可读介质或可执行代码可保存于其上并由处理器执行的计算机存储器。本发明可结合任何适当的操作系统使用。
除非明确指出,在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解,说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件,但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。
前面说明了本发明的一些优选实施例,但是应当强调的是,本发明不局限于这些实施例,而是可以本发明主题范围内的其它方式实现。本领域技术人员可以在本发明技术构思的启发和不脱离本发明内容的基础上对本发明作出各种变形和修改,这些变形或修改仍落入本发明的保护范围之内。
Claims (10)
1.一种终端保护方法,其特征在于,所述方法包括:
响应于登录终端,监听远端管理服务发送的针对该终端的标准鉴权信息及远端管理服务对该终端的编号;
使用与远端管理服务中对等的算法计算实时鉴权信息;
将计算的实时鉴权信息与接收的标准鉴权信息进行比较;
响应于所述实时鉴权信息与所述标准鉴权信息匹配,鉴权通过,启动ssh协议及密码认证服务;及
响应于所述实时鉴权信息与所述标准鉴权信息不匹配,鉴权未通过,退出登录。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于在鉴权过程中取消鉴权,强制关闭ssh协议及登录密码认证服务,强制用户退出登录。
3.根据权利要求1或2所述的方法,其特征在于,所述鉴权信息使用终端的特征值及远端管理服务对该终端的编号计算得到。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于密码认证的操作时间超过预定阈值,强制退出登录。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
使得等待下次可密码认证的时间随密码认证失败次数的增加而增加。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于确定首次登录终端,重新设置密码。
7.一种终端保护装置,其特征在于,所述装置包括:
监听模块,用于响应于登录终端,监听远端管理服务发送的针对该终端的标准鉴权信息及远端管理服务对该终端的编号;
计算模块,用于使用与远端管理服务中对等的算法计算实时鉴权信息;
比较模块,用于将计算的实时鉴权信息与接收的标准鉴权信息进行比较;
启动模块,用于响应于所述实时鉴权信息与所述标准鉴权信息匹配,鉴权通过,启动ssh协议及密码认证服务;及
第一退出登录模块,用于响应于所述实时鉴权信息与所述标准鉴权信息不匹配,鉴权未通过,退出登录。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二提出登录模块,用于响应于在鉴权过程中取消鉴权,强制关闭ssh协议及登录密码认证服务,强制用户退出登录。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第三提出登录模块,用于响应于密码认证的操作时间超过预定阈值,强制退出登录。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
时间递增模块,用于使得等待下次可密码认证的时间随密码认证失败次数的增加而增加。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710744182.7A CN107770150B (zh) | 2017-08-25 | 2017-08-25 | 终端保护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710744182.7A CN107770150B (zh) | 2017-08-25 | 2017-08-25 | 终端保护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107770150A true CN107770150A (zh) | 2018-03-06 |
| CN107770150B CN107770150B (zh) | 2020-09-22 |
Family
ID=61265332
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710744182.7A Active CN107770150B (zh) | 2017-08-25 | 2017-08-25 | 终端保护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107770150B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109714149A (zh) * | 2018-12-24 | 2019-05-03 | 浙江蓝卓工业互联网信息技术有限公司 | 一种防暴力破解的登录控制方法及装置 |
| CN111124654A (zh) * | 2019-12-31 | 2020-05-08 | 中国银行股份有限公司 | 一种账户退出时间设置方法、装置、设备及存储介质 |
| CN115242543A (zh) * | 2022-08-04 | 2022-10-25 | 国网山东省电力公司日照供电公司 | 一种数据安全保护方法和数据安全保护装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103327487A (zh) * | 2012-03-19 | 2013-09-25 | 上海博路信息技术有限公司 | 一种远程认证鉴权服务系统 |
| CN102801717B (zh) * | 2012-08-03 | 2016-06-15 | 苏州迈科网络安全技术股份有限公司 | 登录验证方法及系统 |
| CN105743854A (zh) * | 2014-12-11 | 2016-07-06 | 深圳富泰宏精密工业有限公司 | 安全认证系统及方法 |
| CN106407835A (zh) * | 2016-08-29 | 2017-02-15 | 北京元心科技有限公司 | 移动终端、数据保护方法及装置 |
| CN103888265B (zh) * | 2014-04-11 | 2017-07-25 | 上海博路信息技术有限公司 | 一种基于移动终端的应用登录系统和方法 |
| CN106980793A (zh) * | 2017-04-01 | 2017-07-25 | 北京元心科技有限公司 | 基于TrustZone的通用口令存储及读取方法、装置及终端设备 |
-
2017
- 2017-08-25 CN CN201710744182.7A patent/CN107770150B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103327487A (zh) * | 2012-03-19 | 2013-09-25 | 上海博路信息技术有限公司 | 一种远程认证鉴权服务系统 |
| CN102801717B (zh) * | 2012-08-03 | 2016-06-15 | 苏州迈科网络安全技术股份有限公司 | 登录验证方法及系统 |
| CN103888265B (zh) * | 2014-04-11 | 2017-07-25 | 上海博路信息技术有限公司 | 一种基于移动终端的应用登录系统和方法 |
| CN105743854A (zh) * | 2014-12-11 | 2016-07-06 | 深圳富泰宏精密工业有限公司 | 安全认证系统及方法 |
| CN106407835A (zh) * | 2016-08-29 | 2017-02-15 | 北京元心科技有限公司 | 移动终端、数据保护方法及装置 |
| CN106980793A (zh) * | 2017-04-01 | 2017-07-25 | 北京元心科技有限公司 | 基于TrustZone的通用口令存储及读取方法、装置及终端设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109714149A (zh) * | 2018-12-24 | 2019-05-03 | 浙江蓝卓工业互联网信息技术有限公司 | 一种防暴力破解的登录控制方法及装置 |
| CN111124654A (zh) * | 2019-12-31 | 2020-05-08 | 中国银行股份有限公司 | 一种账户退出时间设置方法、装置、设备及存储介质 |
| CN111124654B (zh) * | 2019-12-31 | 2023-08-18 | 中国银行股份有限公司 | 一种账户退出时间设置方法、装置、设备及存储介质 |
| CN115242543A (zh) * | 2022-08-04 | 2022-10-25 | 国网山东省电力公司日照供电公司 | 一种数据安全保护方法和数据安全保护装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107770150B (zh) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10791126B2 (en) | System and methods for protecting users from malicious content | |
| US8214892B2 (en) | Password authentication system and methods | |
| US8966591B2 (en) | Adaptive strike count policy | |
| USRE46158E1 (en) | Methods and systems to detect attacks on internet transactions | |
| US10366218B2 (en) | System and method for collecting and utilizing client data for risk assessment during authentication | |
| EP3262560B1 (en) | System and method for verifying integrity of an electronic device | |
| US11290464B2 (en) | Systems and methods for adaptive step-up authentication | |
| US8819769B1 (en) | Managing user access with mobile device posture | |
| US9769167B2 (en) | Authentication and authorization using device-based validation | |
| US20200021445A1 (en) | Devices and methods for application attestation | |
| US20070113090A1 (en) | Access control system based on a hardware and software signature of a requesting device | |
| JP2017522667A (ja) | コンピューティングリソースへのアクセスに対する脅威ベース認証のためのデバイスおよび方法 | |
| CN106453422B (zh) | 一种基于移动终端动态认证方法及系统 | |
| US9660981B2 (en) | Strong authentication method | |
| CN107770150A (zh) | 终端保护方法及装置 | |
| CN110740140A (zh) | 一种基于云平台的网络信息安全监管系统 | |
| CN112822176B (zh) | 一种远程app身份认证方法 | |
| EP2082518A2 (en) | Access control system based on a hardware and software signature of a requesting device | |
| CN109246062B (zh) | 一种基于浏览器插件的认证方法及系统 | |
| Ariffin et al. | Vulnerabilities detection using attack recognition technique in multi-factor authentication | |
| EP4068125B1 (en) | Method of monitoring and protecting access to an online service | |
| Waheed et al. | Secure login protocols: An analysis on modern attacks and solutions | |
| CN113079182A (zh) | 一种网络安全控制系统 | |
| CN108574657B (zh) | 接入服务器的方法、装置、系统以及计算设备和服务器 | |
| Gallo et al. | Case study: on the security of key storage on PCs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210201 Address after: 101300 room 153, 1 / F, building 17, 16 Caixiang East Road, Nancai Town, Shunyi District, Beijing Patentee after: Yuanxin Information Technology Group Co.,Ltd. Address before: 100176 room 2222, building D, building 33, 99 Kechuang 14th Street, Beijing Economic and Technological Development Zone, Daxing District, Beijing Patentee before: BEIJING YUANXIN SCIENCE & TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20180306 Assignee: Beijing Yuanxin Junsheng Technology Co.,Ltd. Assignor: Yuanxin Information Technology Group Co.,Ltd. Contract record no.: X2021110000018 Denomination of invention: Terminal protection method and device Granted publication date: 20200922 License type: Common License Record date: 20210531 |
|
| EE01 | Entry into force of recordation of patent licensing contract |